Sécurité Happenin
Politique de divulgation des vulnérabilités
Dernière mise à jour : 2 mai 2026 — version 1.0
Notre engagement
Happenin prend la sécurité de ses utilisateurs très au sérieux. Si vous avez identifié une faille de sécurité dans nos services, nous vous remercions de nous la signaler de manière responsable. Cette page décrit la procédure à suivre, le périmètre couvert et les délais de traitement que nous nous engageons à respecter.
Comment nous contacter
- Adresse courriel : security@happenin.events
- Fichier de découverte : /.well-known/security.txt (conforme RFC 9116)
- Langues acceptées : français, anglais
Périmètre
Dans le périmètre
- l'application web
https://happenin.eventset tous ses sous-domaines (*.happenin.events) - l'environnement de pré-production
staging.happenin.events - l'API publique exposée sur
/api/* - les futurs binaires de l'application mobile Happenin
Hors périmètre
- attaques par déni de service distribué (DDoS, volumétriques)
- ingénierie sociale ciblant les employés ou les utilisateurs
- attaques physiques contre nos infrastructures
- tests fonctionnels invasifs sur l'environnement de production live (créer 100 événements fictifs, spammer le chat, etc.)
- vulnérabilités identifiées dans des outils tiers que nous n'hébergeons pas (Vercel, Supabase, Stripe, Mapbox)
- absence de configuration considérée comme « bonne pratique » sans démonstration d'impact (CSP `unsafe-inline`, headers manquants à faible criticité, etc.)
Règles de divulgation responsable
- ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour démontrer son existence
- ne pas accéder, modifier ou exfiltrerles données d'autres utilisateurs ; arrêtez-vous dès que la preuve de concept est établie
- ne pas divulguer publiquementla vulnérabilité avant qu'un correctif soit déployé et que nous vous ayons donné le feu vert (généralement sous 90 jours)
- respecter la législation française et européenne, notamment le RGPD et la loi pour la confiance dans l'économie numérique (LCEN)
Engagements de réponse
| Étape | Délai |
|---|---|
| Accusé de réception | 48 heures ouvrées |
| Évaluation initiale | 7 jours ouvrés |
| Correctif sévérité critique (CVSS ≥ 9) | 90 jours |
| Correctif sévérité élevée (CVSS 7 — 8.9) | 180 jours |
| Correctif sévérité moyenne ou faible | au cas par cas |
Récompenses
À ce stade, Happenin est une jeune entreprise et ne dispose pas d'un budget cash dédié au programme bug bounty. Nous offrons néanmoins :
- un hall of fame public sur cette page (avec votre accord) listant les chercheurs ayant contribué
- un crédit nominatif dans le
CHANGELOGau moment du correctif - une réponse personnaliséedétaillant l'analyse et les actions prises
- une priorité d'accès au futur programme cash via YesWeHack, prévu un mois après le lancement public (juillet 2026)
Hall of Fame
Cette section sera mise à jour à mesure que des chercheurs nous aident à renforcer la plateforme. Soyez le premier !
Cadre légal
Cette politique s'inscrit dans le cadre de l'article 47 de la loi n° 2016-1321 pour une République numérique (article L. 2321-4 du Code de la défense), qui protège les chercheurs en sécurité de bonne foi signalant une vulnérabilité à l'ANSSI ou directement au responsable du système concerné. Tout signalement effectué dans le respect de la présente politique sera traité dans cet esprit, sans poursuite envisagée.